.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Anthropic lanzó la versión preliminar de Claude Mythos a un pequeño grupo de partners e informó al gobierno de EE. UU. antes del lanzamiento. El modelo puede identificar vulnerabilidades hasta ahora desconocidas en todos los principales sistemas operativos y navegadores web, y generar código de exploit funcional bajo demanda. Las revelaciones públicas citan miles de vulnerabilidades de día cero descubiertas y una tasa de éxito en el desarrollo de exploits del 72,4 %, incluyendo fallos que llevaban décadas ocultos a plena vista.
La reacción fue igualmente inusual. El secretario del Tesoro de EE. UU., Scott Bessent, y el presidente de la Reserva Federal, Jerome Powell, convocaron a los CEO de los bancos más grandes de EE. UU. Días después, salieron a la luz informes de que un grupo no autorizado accedió a Mythos a través del entorno de un proveedor externo. Ya se conoce la vulnerabilidad. No está claro si se ha logrado contener.
Esto no es una hipótesis para Sophos. Nuestro equipo de X-Ops puso a prueba recientemente un agente de IA de última generación en una de nuestras redes internas como ejercicio de equipo rojo. Utilizando modelos de vanguardia anteriores a Mythos con habilidades internas personalizadas, el agente redujo el tiempo de reconocimiento de Active Directory de tres días a tres horas y generó 23 hallazgos procesables, incluyendo rutas de escalado críticas hacia el administrador de dominio, todo ello desde una sola cuenta sin privilegios. Como escribió Ross McKerchar, CISO de Sophos: «Si eso es lo que pueden hacer los modelos actuales, con una orquestación cuidadosa, imagina lo que pasaría si alguien que no está de tu lado apuntara la próxima generación de IA hacia tu perímetro».
La entrada complementaria de Mark Loman, «La IA secubre las vulnerabilidades, pero aprovecharlas es otra historia», explica por qué el descubrimiento y la explotación son problemas distintos, y las razones arquitectónicas por las que Sophos Endpoint ocupa el lugar que ocupa en tu pila de seguridad.
La superficie de ataque acaba de cambiar de la noche a la mañana. Sophos Endpoint se creó precisamente para esto.
Las vulnerabilidades de software no son nada nuevo. La carrera armamentística entre investigadores, proveedores y adversarios lleva en marcha desde que existe el software.
Lo nuevo es la rapidez con la que se puede desarrollar esa carrera, y quién la lleva a cabo. El Informe Sophos sobre adversarios activos de 2026 (661 casos de respuesta a incidentes y MDR gestionados por X-Ops) reveló que la explotación de vulnerabilidades representaba el 16 % de los accesos iniciales, con una mediana del tiempo de permanencia del atacante reducida a tres días.
La IA no solo aumentó el volumen de ataques; redujo drásticamente el margen de tiempo para reaccionar. Cuando un modelo genera un exploit funcional a partir de una vulnerabilidad recién descubierta antes de que la mayoría de las organizaciones hayan iniciado el control de cambios, los ciclos de parches tradicionales se convierten en un lastre en lugar de una defensa.
Hay tres cosas que cambian en la era de la IA: la velocidad, la escala y el acceso. El descubrimiento y la conversión en arma, que antes llevaban semanas, se reducen a horas o minutos. El mismo modelo puede dirigirse a cientos de objetivos en paralelo. Capacidades que antes requerían una gran experiencia ahora se esconden tras un simple comando.
Hay algunas cosas que no cambian. Para convertir una vulnerabilidad en un ataque, un adversario aún debe corromper la memoria de una manera concreta, redirigir la ejecución, escalar privilegios, evadir la supervisión del comportamiento o acceder al sistema operativo mediante una secuencia cuidadosamente diseñada. Existen millones de vulnerabilidades, aunque las técnicas utilizadas para explotarlas se cuentan por docenas. Esa es la asimetría que Sophos Endpoint aprovecha del lado del defensor.
Sophos Endpoint: detener la técnica, no perseguir la firma
Sophos Endpoint adopta un enfoque diferente al de las herramientas basadas en firmas o que se centran solo en el comportamiento. En lugar de intentar reconocer cada nueva amenaza después de que aparezca, se fija en las técnicas subyacentes que un atacante debe usar para que cualquier exploit funcione.
Esta funcionalidad tiene su origen en HitmanPro.Alert, la tecnología anti-exploit que Sophos adquirió en 2015 e integró en el agente de endpoint. Se basa en una idea simple y sólida: existe un conjunto finito de técnicas de explotación y limitarlas hace que explotar una vulnerabilidad sea mucho más difícil, independientemente de si esta es conocida, desconocida o generada por una IA hace apenas cinco minutos.
Actualmente, Sophos dispone de más de 60 medidas de mitigación propias de forma predeterminada en cada proceso protegido. Estas medidas se ejecutan en tiempo real en el endpoint, sin depender de consultas en la nube ni de actualizaciones de firmas, y sin necesidad de configuración por aplicación para empezar a proteger tu infraestructura.
Si mañana aparece un nuevo día cero, generado por Mythos o cualquier modelo posterior, la cuestión no es si Sophos lo ha visto antes. La pregunta es si el exploit puede completar su trabajo sin utilizar ninguna de las técnicas que Sophos Endpoint restringe. La respuesta, en casi todos los casos realistas, es no.
Qué hace la prevención de exploits
Sophos Endpoint implementa más de 60 medidas de mitigación distintas en cada etapa de una cadena de exploits. Repasemos una breve descripción de esas capacidades, y recuerda que esto representa solo un subconjunto de las mismas:
Corrupción de memoria
La mayoría de los exploits modernos, incluidos los que un modelo como Mythos generaría contra un navegador o un sistema operativo, dependen de corromper la memoria de una forma específica. Sophos Endpoint aplica protecciones contra el pivote de pila, el heap spraying, las cadenas de programación orientadas al retorno y técnicas similares que un exploit debe usar para lograr la ejecución de código. La vulnerabilidad puede ser desconocida: estas mitigaciones siguen activándose.
Flujo y ejecución de código
Una vez que el exploit corrompe la memoria, debe redirigir la ejecución hacia código controlado por el atacante. Sophos Endpoint aplica protección dinámica del montón, filtrado de direcciones de importación y validación de bibliotecas de carga. Estas comprobaciones son invisibles para la aplicación, pero rompen la cadena del exploit en el momento de la toma de control.
Navegadores y documentos
Los navegadores y los lectores de documentos constituyen la mayor superficie de ataque de software para la mayoría de las organizaciones y representan los objetivos precisos que mencionan las revelaciones de Mythos. Sophos Endpoint aplica un refuerzo específico a navegadores, complementos, Office y lectores de PDF, incluso contra las técnicas de instalación silenciosa habituales en los kits de exploits modernos.
Credenciales y post-explotación
Si un atacante logra introducir código en un sistema, la cadena de exploits no ha terminado. Aún debe escalar privilegios, recolectar credenciales o moverse lateralmente. Sophos Endpoint interrumpe esos comportamientos con protección contra el robo de credenciales, detección de «cave» de código, protección contra violaciones de APC y mitigaciones activas contra adversarios. El Informe sobre adversarios activos de 2026 muestra que los atacantes ahora llegan a Active Directory en tres horas y 24 minutos de media. La IA puede encontrar la vulnerabilidad más rápido, pero el atacante sigue teniendo que moverse de la misma manera una vez dentro.
Ransomware
CryptoGuard detecta comportamientos de cifrado no autorizados y restaura los archivos afectados. A medida que la IA acelera el camino desde el acceso inicial hasta la monetización, la última línea de defensa contra los resultados que perturban el negocio cobra más importancia, no menos.
Por qué otras herramientas para endpoints tienen dificultades con este problema
La mayoría de los productos para endpoints no se diseñaron para detener los exploits como lo hizo Sophos Endpoint.
La detección primero, no la prevención
Los creadores de muchas herramientas para endpoints adoptaron una filosofía de «detección primero»: registrar todo, correlacionar más tarde, alertar cuando algo parece estar mal. En el caso de un día cero generado por IA, para cuando se activa la alerta, el exploit ya se ha ejecutado y el analista está investigando una intrusión activa en lugar de prevenirla. Sophos Endpoint ejecuta la mitigación de exploits en el momento del ataque, por lo que llegan menos amenazas al analista de seguridad.
Cobertura que depende de la configuración
Varios productos de la competencia incluyen mitigaciones de exploits, pero los envían desactivados, parcialmente activados o en SKU de nivel superior. Además, el usuario debe activar muchas de estas mitigaciones aplicación por aplicación. Los clientes sin un equipo de seguridad dedicado rara vez completan esa configuración, y las protecciones que deberían haber detenido un exploit nunca se activan. Sophos Endpoint habilita más de 60 mitigaciones de forma predeterminada, sin restricciones de nivel, sin configuración por aplicación y sin necesidad de ajustes.
La carga de ajuste que empuja a los clientes a desactivar las protecciones
Cuando la mitigación de exploits genera falsos positivos frecuentes, los administradores acaban desactivándola. Las protecciones están técnicamente presentes, pero los equipos las desactivan en todo el entorno porque interfieren con aplicaciones legítimas. Sophos Endpoint aborda este problema mediante exclusiones granulares, lo que permite a los administradores (o al equipo de Sophos X-Ops) excluir una única mitigación para un único fragmento de código en una única aplicación, en lugar de desactivar la prevención de exploits por completo.
Tres preguntas que debes hacerle a tu proveedor actual
Cuando la IA puede generar un exploit funcional en cuestión de minutos, cualquier producto para endpoints que requiera configuración manual para activar sus propias defensas no es una inversión en seguridad, sino una brecha a la espera de ser descubierta. Hazle estas preguntas a tu proveedor actual:
- ¿Está la prevención de exploits activada por defecto para todos los procesos, en todos los niveles, sin necesidad de ajustes?
- ¿Cuánto tiempo llevan implementadas a gran escala esas medidas de prevención de exploits y cuál es su historial de compatibilidad?
- ¿Cubre la capa de mitigación los comportamientos posteriores a la explotación (robo de credenciales, escalada de privilegios, persistencia, carga útil de ransomware), y no solo el exploit inicial?
- Cuando surge un problema de compatibilidad, ¿la solución es precisa o requiere debilitar la protección en todo el entorno?
Si la respuesta a cualquiera de estas preguntas es «no», «parcialmente» o «depende de tu configuración», no estás protegido contra lo que ya está circulando.
Defensa en profundidad: dónde encaja Sophos Endpoint en el sistema global
La prevención de exploits es la primera línea más sólida, pero no la única. Sophos Endpoint comparte telemetría de amenazas y estado en tiempo real con el ecosistema de Sophos, por lo que una detección en cualquier control desencadena una respuesta coordinada que contiene los ataques más rápidamente.
- La detección de malware mediante aprendizaje profundo detecta binarios conocidos y nunca vistos antes de que se ejecuten. La protección adaptativa contra ataques refuerza automáticamente la postura de seguridad cuando un endpoint está bajo ataque. La seguridad sincronizada vincula el endpoint con el firewall, la identidad y el correo electrónico, de modo que una detección en un lugar desencadena una respuesta coordinada en todas partes.
- Sophos MDR añade supervisión experta 24/7, con la IA gestionando el volumen y los analistas humanos tomando las decisiones.
Qué hacer ahora
La llamada a la acción de Ross McKerchar sobre el perímetro es totalmente acertada: acelera la aplicación de parches, afronta la infraestructura al final de su vida útil, exige más a los proveedores. Tres pasos adicionales para el lado de los endpoints del mismo problema:
- Confirma que la prevención de exploits está habilitada y sin restricciones en todos los endpoints. En Sophos Central, verifica que las políticas de mitigación de exploits se apliquen en todo el entorno y que las exclusiones se limiten a las aplicaciones que realmente las requieran. Puedes encontrar más detalles en la documentación de Sophos.
- Aplica los parches más rápido, pero no confíes solo en ellos. El Informe de adversarios activos de Sophos de 2026 reveló un intervalo medio de 322 días entre el aviso del proveedor y la explotación observada. Los exploits de día cero generados por IA reducirán aún más ese plazo.
- Añade la experiencia humana. Si no dispones de un SOC 24/7, Sophos MDR ofrece la supervisión experta que convierte la telemetría de los endpoints en resultados investigados y controlados. La IA se encarga del volumen. Los humanos toman las decisiones.
Conclusión
La revelación de Mythos no es un anticipo. Es la nueva referencia. La IA encontrará vulnerabilidades más rápido de lo que cualquier ciclo de parches puede solucionarlas, y los exploits generados por IA llegarán a entornos que nunca se han enfrentado a nada parecido.
Sophos Endpoint se creó para este momento, no se ha adaptado a él ni se ha actualizado para él. La arquitectura que detiene una cadena de exploits conocida detiene una generada por IA, porque las técnicas no cambian aunque lo haga la vulnerabilidad. Eso no es una característica. Es un principio de diseño, y es la razón por la que habilitamos más de 60 medidas de mitigación de forma predeterminada en cada proceso protegido desde el momento en que implementas el agente.
Tus atacantes se están actualizando. Tu protección de endpoints ya debería ir por delante de ellos.
Descubre más sobre Sophos Endpoint en sophos.com/endpoint.